概要
韓国に対する大規模なサイバー攻撃は、過去 4 年間に何回か確認されています。シマンテックが特定したバックドア(Backdoor.Prioxer)は 2011 年の攻撃で浮かび上がったものですが、このバックドアを修正した亜種が 2013 年の攻撃でも検出されています。このバックドアは一般に入手可能なコードをベースにしていますが、同じ個人が 2011 年と 2013 年のどちらの攻撃にも関与している形跡があり、2 つの攻撃には何らかの関係性があるものと示唆されます。
背景
大規模な攻撃が初めて記録されたのは、2009 年 7 月のことでした。この攻撃は、米国の独立記念日に当たる 7 月 4 日に始まり、韓国と米国の政府系や金融系のさまざまな Web サイトに対して分散サービス拒否(DDoS)攻撃が仕掛けられました。2 度目の攻撃は 7 月 7 日、3 度目は 7 月 9 日に発生しています。一連の攻撃に使われたマルウェアは Trojan.Dozer で、電子メールを介して拡散しました。Trojan.Dozer のコードには時限爆弾が仕込まれており、7 月 10 日に発動するように設定されていました。この時限爆弾は、ハードディスク上の各種のファイルを上書きするうえ、ハードディスクの先頭の 1 MB も上書きして MBR とパーティションテーブルを破壊する機能があります。これにより、ハードディスクは、「Memory of the Independence Day(独立記念日を祝して)」という文字列で上書きされてしまいます。
2 度目の大規模攻撃は、2011 年 3 月 4 日に発生しました。このときも DDoS が利用され、同じく米国と韓国の政府系機関が狙われました。ここで使われたマルウェアは Trojan.Koredos ですが、やはり指定されたタイプのファイルを上書きし、MBR を破壊します。この攻撃の調査中に発見されたのが、Backdoor.Prioxer というトロイの木馬です。Backdoor.Prioxer は非常に高度で、ファイルへの感染の仕組みも慎重です。このときの詳しい手口については、以前のブログで紹介しています。
そして、3 度目に当たるのが今回、2013 年 3 月 20 日の攻撃です。この攻撃はハードディスクを上書きするだけで、DDoS 攻撃はないものと見られています。ここで使われている Trojan.Jokra は、MBR とハードディスクの内容を、ファイル形式に関係なく上書きしたうえで、マップされたネットワークドライブを探し、見つかればそれも上書きしようとします。インストールの経路は、電子メールやパッチ管理など複数あるようです。パッチ管理とは自動更新システムで、これが感染してマルウェアを拡散しました。
2011 年の Trojan.Koredos の調査と同様に、Trojan.Jokra に感染したコンピュータのファイルを調べているときに Backdoor.Prioxer の新しい亜種が見つかっています(Backdoor.Prioxer.B と命名されました)。この新しい亜種は、同じ C&C のベースプロトコルを共有していますが、以前の亜種とは異なり IRC 通信のプロキシは行いません。被害を受けたコンピュータへのインストール方法を判定しようとして、このファイルをさらに調べたところ、Trojan.Jokra とのつながりが確認されました。
関連性の発見
Trojan.Jokra のサンプルは Jokra パッカーによって不明瞭化されています。Jokra パッカーはダウンローダの不明瞭化にも利用されていました(2012 年 8 月に、50e03200c3a0becbf33b3788dac8cd46 という MD5 で発見)。このダウンローダは、次の場所から Backdoor.Prioxer をダウンロードします。
http://www.skymom.co.kr/[削除済み]/update_body.jpg
Trojan.Jokra と Backdoor.Prioxer.B のつながりも、Jokra パッカーが基になっています。2013 年の事案で見つかった別のマルウェアサンプル(Trojan.Gen.2)は、Jokra パッカーでパッケージ化され、ビルドのパス文字列を含んでいます。この文字列は、サンプルがディスク上のどこでコンパイルされたかを示しています。
パスは以下のとおりです。
Z:\Work\Make Troy\3RAT Project\3RATClient_Load\Release\3RATClient_Load.pdb
同じ調査で見つかった Backdoor.Prioxer.B サンプルにも、以下のビルド文字列が含まれています。
Z:\Work\Make Troy\Concealment Troy\Exe_Concealment_Troy(Winlogon_Shell)\Dll\Concealment_Troy(Dll)\Release\Concealment_Troy.pdb
2 つのマルウェアが、Z:\work\Make Troy という同じビルドソースディレクトリからコンパイルされたことが、これで明らかになりました。
仕事か趣味か
Jokra パッカーが 1 つのグループに限定されているとすれば、Backdoor.Prioxer.B と Trojan.Jokra のつながりは間違いありません。このパッカーは、検出数がきわめて少ないことから、公然と配布されているわけではなく、韓国に限定されているとシマンテックは考えています。今までのところ Jokra、ダウンローダ、そして「Z:」で始まるビルド文字列を含むバックドア型のトロイの木馬しか対象になっていません。こうした範囲の狭さから、Jokra パッカーが 1 つのグループのみによって使われていることが示唆されます。
Backdoor.Prioxer.B と 2011 年の攻撃とのつながりは、これまで明確にはなっていません。各バージョンの Backdoor.Prioxer が 2 つの攻撃を通じて存在していたとは考えにくく、トロイの木馬は単に調査の過程で検出されただけで、実際には攻撃に関係していなかったという説明も可能でしょう。とは言え、Jokra のつながりを考えると、サンプルはやはり関係していると考えてよさそうです。
最後に、Backdoor.Prioxer サンプルで使われているビルドパス自体が手がかりになります。パスは「Z:\work」ですが、個人のハックティビストがトロイの木馬を保存する場所として「work(作業用)」というラベルのフォルダを使うことは、まずありえません。ハックティビストであれば、トロイの木馬を開発することは仕事ではなく、趣味のようなものだからです。コードを作業用フォルダに保存するのは、コーディングを職業にしている人と考えれば、請負業者として報酬を得ている、あるいは従業員として指示されている何者かが一連の攻撃を実行した可能性があるということになります。
* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。
